El método de autenticación FIDO (Fast Identity Online) o de rápida identificación, cuya adopción crece cada vez más, podría eludirse a través de un nuevo sofisticado ataque de degradación, exponiendo tanto a organizaciones como a usuarios individuales a amenazas de intermediario (AiTM). Según una reciente investigación de Proofpoint, empresa de ciberseguridad y cumplimiento normativo, los ciberdelincuentes desafiarían así los futuros procedimientos de verificación de usuario resistentes al phishing.

Este ataque aprovecha una brecha aparentemente insignificante: no todos los navegadores web admiten el método de autenticación mediante clave de acceso FIDO2, una de las implementaciones más actuales, con Microsoft Entra ID, lo que permite a los atacantes suplantar un agente de usuario no compatible y forzar una verificación menos segura. De esta manera, roban credenciales y cookies de sesión que, en última instancia, conducen a la apropiación de cuentas y otras amenazas posteriores.

FIDO es un conjunto de estándares abiertos desarrollados para mejorar la autenticación online en cuanto a seguridad y la experiencia del usuario. Reduce la dependencia de las contraseñas y promueve métodos de autenticación más seguros y resistentes al phishing. Eliminando la necesidad de credenciales tradicionales, FIDO anula las amenazas de phishing comunes. Puede combinar claves de seguridad de hardware con datos biométricos o PIN para mayor protección.

La clave del fracaso del phishing en cuentas protegidas por FIDO está en el uso de phishlets estándar. Se trata de un archivo de configuración o plantilla que utilizan los kits de phishing para definir la suplantación de sitios web legítimos y la interceptación de credenciales de usuario y tokens de sesión. Dado que muchos phishlets están diseñados para recopilar credenciales a la manera tradicional y eludir la autenticación multifactor anterior a FIDO, a menudo dan error cuando se encuentran con este tipo de autenticación.

No obstante, aunque se trata de una táctica factible, desde Proofpoint no han observado ataques de degradación de la autenticación FIDO en la práctica. Esto puede deberse a que muchos atacantes optan actualmente por vías de ataque más sencillas, dirigidas a usuarios con autenticación débil o de un solo factor, que requieren menos sofisticación técnica y siguen ofreciendo altas tasas de éxito. La creación o adaptación de un phishlet para facilitar un ataque de degradación de FIDO requiere un conocimiento más profundo y especializado. Aun así, los investigadores de Proofpoint consideran que pueda ser una amenaza emergente significativa de parte de adversarios sofisticados y ciberdelincuentes patrocinados por estados, entre otros.

“Las claves de acceso basadas en FIDO siguen siendo un método de autenticación muy recomendable para protegerse contra las amenazas prevalentes de phishing de credenciales y apropiación de cuentas (ATO). Por el momento, los atacantes siguen centrándose en cuentas con otros métodos de autenticación multifactor o sin ellos. No obstante, a medida que aumenta la concienciación sobre los riesgos del phishing, podrían intentar evolucionar sus tácticas, técnicas y procedimientos incorporando la degradación de la autenticación FIDO en sus cadenas de ataque”, aseguran los investigadores de amenazas de Proofpoint.